以威胁防护为中心的 NAC 服务
凭借以威胁防护为中心的网络访问控制 (TC-NAC) 功能,您可依据接收自威胁和漏洞适配器的威胁和漏洞属性创建授权策略。威胁严重级别和漏洞评估结果可用于动态控制终端或用户的访问级别。
您可以配置漏洞和威胁适配器来向Cisco ISE 发送高保真危害表现 (IoC)、检测到威胁事件和 CVSS 分数,以便创建以威胁防护为中心的访问策略来相应地更改终端的授权和情景。
Cisco ISE 支持以下适配器:
-
Sourcefire FireAMP
-
感知威胁分析 (CTA) 适配器
-
Qualys
注
TC-NAC 流目前仅支持 Qualys 企业版。
-
Rapid7 Nexpose
-
Tenable 安全中心
当检测到终端威胁事件时,可以在受到危害的终端 (Compromised Endpoints) 窗口选择该终端的 MAC 地址并应用一个 ANC 策略,例如隔离。Cisco ISE 对该终端触发 CoA 并应用相应的 ANC 策略。如果 ANC 策略不可用,则Cisco ISE 对该终端触发 CoA 并应用原始的授权策略。可以使用受到危害的终端 (Compromised Endpoints) 窗口上的清除威胁和漏洞 (Clear Threat and Vulnerabilities) 选项来(从Cisco ISE 系统数据库)清除与某终端关联的威胁和漏洞。
以下属性列在威胁 (Threat) 字典下:
-
CTA-Course_Of_Action(值可以是内部屏蔽 [Internal Blocking]、清除 [Eradication] 或监控 [Monitoring])
-
Qualys-CVSS_Base_Score
-
Qualys-CVSS_Temporal_Score
-
Rapid7 Nexpose-CVSS_Base_Score
-
Tenable Security Center-CVSS_Base_Score
-
Tenable Security Center-CVSS_Temporal_Score
基础评分 (Base Score) 和临时分数 (Temporal Score) 属性的有效范围均为 0 至 10。
当收到某个终端的漏洞事件时,Cisco ISE 对该终端触发 CoA。但是,在收到威胁事件时不会触发 CoA。
您可以通过使用漏洞属性来创建授权策略,从而基于属性值自动隔离易受攻击的终端。例如:
Any Identity Group & Threat:Qualys-CVSS_Base_Score > 7.0 -> Quarantine
要查看在 CoA 事件期间自动隔离的终端的日志,请选择
。要查看手动隔离的终端的日志,请选择 。启用以威胁防护为中心的 NAC 服务时,请注意以下几点:
-
以威胁防护为中心的 NAC 服务需要Cisco ISE Advantage 许可证。
-
在一个部署中,只能在一个节点上启用以威胁防护为中心的 NAC 服务。
-
对于漏洞评估服务,每个供应商只能添加一个适配器实例。但是,您可以添加多个 FireAMP 适配器实例。
-
可以停止并重新启动适配器,而不会丢失其配置。配置适配器之后,您可以随时停止适配器。即使重新启动 ISE 服务,适配器也将保持此状态。选择适配器并点击重新启动 (Restart) 以重新启动适配器。
注
当适配器处于“停止”(Stopped) 状态时,只能编辑适配器实例的名称;无法编辑适配器配置或高级设置。
以威胁防护为中心的 NAC 实时日志 (Threat Centric NAC Live Logs) 窗口(操作 (Operations) > 以防护为中心的 NAC 实时日志 (Threat-Centric NAC Live Logs))列出了所有威胁和漏洞事件。它显示终端的事故类型、适配器名称、授权匹配规则和授权配置文件(旧的和新的)。您还可以查看事件的详细信息。
您可以在以下页面上查看终端的威胁信息:
-
主页 (Home page) > 威胁控制面板 (Threat dashboard)
-
情景可视性 (Context Visibility) > 终端 (Endpoints) > 受到危害的终端 (Compromised Endpoints)
以下警报由以威胁防护为中心的 NAC 服务触发:
-
无法访问适配器(系统日志 ID:91002):表示适配器无法访问。
-
适配器连接失败(系统日志 ID:91018):表示适配器可访问,但是适配器和源服务器之间的连接已中断。
-
适配器因出错而停止工作(系统日志 ID:91006):如果适配器未处于所需状态,则触发此警报。如果显示此警报,请检查适配器配置和服务器连接。有关详细信息,请参阅适配器日志。
-
适配器错误(系统日志 ID:91009):表示 Qualys 适配器无法与 Qualys 站点建立连接或通过其下载信息。
以下报告可用于以威胁防护为中心的 NAC 服务:
-
适配器状态 (Adapter Status):适配器状态报告显示威胁和漏洞适配器的状态。
-
COA 事件 (COA Events):当收到某个终端的漏洞事件时,Cisco ISE 对该终端触发 CoA。CoA 事件报告显示这些 CoA 事件的状态。同时显示这些终端的新旧授权规则和配置文件详细信息。
-
威胁事件 (Threat Events):威胁事件报告提供Cisco ISE 从已配置的各种适配器接收的所有威胁事件的列表。此报告不包括漏洞评估事件。
-
漏洞评估 (Vulnerability Assessment):漏洞评估报告提供您的终端正在进行的评估的信息。您可以查看此报告以确认评估是否以配置策略为基础正在进行。
可以在操作 (Operations) > 报告 (Reports) > 诊断 (Diagnostics) > ISE 计数器 (ISE Counters) > 阈值计数器趋势 (Threshold Counter Trends) 位置查看以下信息:
-
收到事件的总数
-
威胁事件的总数
-
漏洞事件的总数
-
发出(到 PSN)的 CoA 的总数
系统每 5 分钟收集一次这些属性的值,因此,这些值表示最近 5 分钟的计数。
威胁 (Threat) 控制面板包含以下 Dashlet:
-
受到危害的终端总数 (Total Compromised Endpoints) Dashlet 显示当前网络中受影响的终端总数(包括连接和断开连接的终端)。
-
特定时段受危害的终端 (Compromised Endpoints Over Time) Dashlet 显示特定时间段内对终端影响的历史视图。
-
首要威胁 (Top Threats) Dashlet 显示基于受影响的终端数量和威胁的严重程度的首要威胁。
-
可以使用威胁关注列表 (Threats Watchlist) Dashlet 分析所选事件的趋势。
首要威胁 (Top Threats) Dashlet 中的气泡大小表示受影响终端的数量,而浅色面积表示断开连接终端的数量。颜色和垂直刻度表示威胁的严重程度。威胁分为两类 - 指标和事故。指标的严重程度属性是“Likely_Impact”,而事故的严重程度属性是“Impact_Qualification”。
受到危害的终端 (Compromised Endpoint) 页面显示受影响终端的矩阵视图以及各个威胁类别的影响严重程度。您可以点击设备链接以查看某终端的详细威胁信息。
“操作过程”(Course Of Action) 图表显示根据从 CTA 适配器收到的 CTA-Course_Of_Action 属性,对威胁事件执行的操作(内部屏蔽、根除或监控)。
在主页 (Home) 上的漏洞 (Vulnerability) 控制面板包含以下 Dashlet:
-
易受攻击的终端总数 (Total Vulnerable Endpoints) Dashlet 显示 CVSS 分数大于指定值的终端总数。此外,还显示 CVSS 分数大于指定值的连接和断开连接的终端总数。
-
首要漏洞 (Top Vulnerability) Dashlet 显示基于受影响的终端数量或漏洞的严重程度的首要漏洞。首要漏洞 (Top Vulnerability) Dashlet 中的气泡大小表示受影响终端的数量,而浅色面积表示断开连接终端的数量。颜色和垂直刻度表示漏洞的严重程度。
-
可以使用漏洞关注列表 (Vulnerability Watchlist) Dashlet 分析一段时间内所选漏洞的趋势。点击 Dashlet 中的搜索图标并输入供应商特定 ID(Qualys ID 号码为“qid”)以选择和查看该特定 ID 号码的趋势。
-
特定时段易受攻击终端 (Vulnerable Endpoints Over Time) Dashlet 显示一段时间内对终端的影响的历史视图。
易受攻击的终端 (Vulnerable Endpoints) 窗口上的“按 CVSS 排序的终端数”(Endpoint Count By CVSS) 图表显示受影响终端的数量及其 CVSS 分数。在易受攻击的终端 (Vulnerable Endpoints) 窗口,还可以查看受影响的终端列表。可以点击设备链接以查看各个终端的详细漏洞信息。
支持捆绑包中包含以威胁防护为中心的 NAC 服务日志(请参阅下载思科 ISE 日志文件)。以威胁防护为中心的 NAC 服务日志位于 support/logs/TC-NAC/
启用威胁中心 NAC 服务
要配置漏洞和威胁适配器,您必须首先启用威胁中心 NAC 服务。此服务只可在您部署中的一个策略服务节点上启用。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
选中要启用威胁中心 NAC 服务的 PSN 旁边的复选框,然后点击编辑 (Edit)。 |
步骤 3 |
选中启用威胁中心 NAC 服务 (Enable Threat Centric NAC Service) 复选框。 |
步骤 4 |
点击保存 (Save)。 |
添加 Sourcefire FireAMP 适配器
开始之前
-
您必须有一个配有 SourceFire FireAMP 的账户。
-
您需要在所有终端部署 FireAMP 客户端。
-
您需要在部署节点上启用以威胁防护为中心的 NAC 服务(请参阅启用威胁中心 NAC 服务)。
-
FireAMP 适配器使用 SSL 进行 REST API 调用(对于 AMP 云),并使用 AMQP 接收事件。它还支持使用代理。FireAMP 适配器使用端口 443 进行通信。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择管理 (Administration) > 以威胁防护为中心的 NAC (Threat Centric NAC) > 第三方供应商 (Third Party Vendors)。 |
步骤 2 |
点击添加 (Add)。 |
步骤 3 |
从提供商 (Vendor)下拉列表中选择 AMP:威胁防护 (AMP : Threat)。 |
步骤 4 |
输入适配器实例的名称。 |
步骤 5 |
点击保存 (Save)。 |
步骤 6 |
刷新“供应商实例列表”(Vendor Instances listing) 页面。在“供应商实例列表”(Vendor Instances listing) 页面中,仅在适配器状态变为配置就绪 (Ready to Configure) 之后,您才可配置适配器。 |
步骤 7 |
点击准备配置 (Ready to Configure) 链接。 |
步骤 8 |
(可选)如果您配置了 SOCKS 代理服务器用于路由所有流量,请输入主机名和该代理服务器的端口号。 |
步骤 9 |
选择您想要连接的云。您可以选择 US 云或 EU 云。 |
步骤 10 |
选择要订阅的事件源。可提供以下选项:
|
步骤 11 |
点击 FireAMP 链路并以管理员的身份登录 FireAMP。点击应用 (Applications) 窗格中的允许 (Allow),以授权流事件导出请求。 |
步骤 12 |
选择您要监控的事件(例如,可疑下载、连接到可疑域、已执行恶意软件、Java 威胁)。 当更改高级设置或重新配置适配器时,如果向 AMP 云中添加了任何新事件,则这些事件也会列在事件列表 ( Events Listing) 窗口中。 可以为适配器选择一种日志级别。可用选项为:错误 (Error) 、信息 (Info) 和调试 (Debug)。 适配器实例配置摘要将在配置摘要 (Configuration Summary) 页面中显示。 |
配置认知威胁分析适配器
开始之前
-
您需要在部署节点上启用以威胁防护为中心的 NAC 服务(请参阅启用威胁中心 NAC 服务)。
-
通过 http://cognitive.cisco.com/login 登录到Cisco感知威胁分析 (CTA) 门户并请求 CTA STIX/TAXII 服务。有关详细信息,请参阅 Cisco ScanCenter 管理员指南。
-
感知威胁分析 (CTA) 适配器使用含 SSL 的 TAXII 协议轮询 CTA 云是否有检测到的威胁。它还支持使用代理。
-
将适配器证书导入到受信任证书库。依次选择管理 (Administration) > 系统 (System) > 证书 (Certificates) > 受信任证书 (Trusted Certificates) > 导入 (Import) 导入证书。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
点击添加 (Add)。 |
步骤 3 |
从提供商 (Vendor) 下拉列表中选择 CTA:威胁 (CTA : Threat)。 |
步骤 4 |
输入适配器实例的名称。 |
步骤 5 |
点击保存 (Save)。 |
步骤 6 |
刷新“供应商实例列表”(Vendor Instances listing) 页面。在“供应商实例列表”(Vendor Instances listing) 页面中,仅在适配器状态变为配置就绪 (Ready to Configure) 之后,您才可配置适配器。 |
步骤 7 |
点击准备配置 (Ready to Configure) 链接。 |
步骤 8 |
输入下列详细信息:
|
步骤 9 |
点击 下一步 (Next)。 |
步骤 10 |
点击高级设置 (Advanced Settings) 配置以下选项:
|
步骤 11 |
点击完成 (Finish)。 |
注 |
CTA 使用 Web 代理日志中作为 IP 地址或用户名列出的用户身份。具体而言,在使用 IP 地址的情况下,通过代理日志可用的设备的 IP 地址可能与内部网络上另一台设备的 IP 地址冲突。例如,通过 AnyConnect 和分割隧道直接连接到互联网的漫游用户可以获取本地 IP 范围地址(例如,10.0.0.X 地址),该地址可能与内部网络中使用的重叠私用 IP 范围中的地址冲突。我们建议您在定义策略时考虑逻辑网络架构,以避免对不匹配的设备应用隔离操作。 |
为 CTA 适配器配置授权配置文件
对于每个威胁事件,CTA 适配器会返回行动方案属性的以下值之一:内部阻止、监控或根除。您可以根据这些值创建授权配置文件。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择策略 (Policy) > 策略元素 (Policy Elements) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles) 。 |
步骤 2 |
点击添加 (Add)。 |
步骤 3 |
输入授权配置文件的名称和描述。 |
步骤 4 |
选择访问类型。 |
步骤 5 |
输入所需的详细信息,并点击提交 (Submit)。 |
使用操作过程属性配置授权策略
您可以使用 CTA-Course_Of_Action 属性为报告威胁事件的终端配置授权策略。此属性在“威胁”(Threat) 目录下可用。
您还可以根据 CTA-Course_Of_Action 属性创建例外规则。
过程
步骤 1 |
选择策略 (Policy) > 策略集 (Policy Sets) |
||
步骤 2 |
创造一个条件检查 CTA-Course_Of_Action 属性值并分配合适的授权配置文件。例如: Network_Access_Authentication_Passed AND ThreatCTA-Course_Of_Action CONTAINS Internal Blocking then blocking (authorization profile)
|
||
步骤 3 |
点击保存 (Save)。 |
注 |
有时,CTA 会在一个事件中发送多个风险及其关联的操作过程属性。例如,它可以在一个事件中发送“内部阻断”(Internal Blocking) 和“监控”(Monitoring)(操作过程属性)。在这种情况下,如果您已使用“equals”运算符配置隔离终端的授权策略,则不会隔离终端。例如: 在这种情况下,必须在授权策略中使用“contains”运算符来隔离终端。例如: |
思科 ISE 中的漏洞评估支持
Cisco ISE 与以下漏洞评估 (VA) 生态系统合作伙伴集成,以获取连接到Cisco ISE 网络的终端漏洞结果:
-
Qualys:Qualys 是一种基于云的评估系统,在网络中部署有扫描设备。Cisco ISE 允许您配置与 Qualys 通信并获取 VA 结果的适配器。您可以从管理门户配置适配器。您需要具有超级管理员权限的Cisco ISE 管理员帐户来配置适配器。Qualys 适配器使用 REST API 与 Qualys 云服务进行通信。您需要 Qualys 中具有管理器权限的用户帐户来访问 REST API。Cisco ISE 使用以下 Qualys REST API:
-
托管检测列表 API:用于检查终端的最后扫描结果
-
扫描 API:用于触发终端的按需扫描
-
-
Rapid7 Nexpose:Cisco ISE 与漏洞管理解决方案 Rapid7 Nexpose 集成,以帮助检测漏洞,使您能够快速响应此类威胁。Cisco ISE 从 Nexpose 接收漏洞数据,并根据在 ISE 中配置的策略隔离受影响的终端。从Cisco ISE 控制板,可以查看受影响的终端并采取适当的操作。
Cisco ISE 已经过 Nexpose 版本 6.4.1 测试。
-
Tenable SecurityCenter(Nessus 扫描程序):Cisco ISE 与 Tenable SecurityCenter 集成并从 Tenable Nessus 扫描程序(由 Tenable SecurityCenter 管理)接收漏洞数据,然后,系统根据您在 ISE 中配置的策略来隔离受影响的终端。从Cisco ISE 控制板,可以查看受影响的终端并采取适当的操作。
Cisco ISE 已经过 Tenable SecurityCenter 5.3.2 测试。
来自生态系统合作伙伴的结果被转换为结构化威胁信息表达式 (STIX)表示,然后基于该值根据需要触发授权更改 (CoA),并授予终端相应的访问权限级别。
评估终端漏洞所需的时间取决于多种因素,因此无法实时执行 VA。影响评估终端漏洞所需时间的因素包括:
-
漏洞评估生态系统
-
扫描的漏洞类型
-
启用的扫描类型
-
生态系统为扫描设备分配的网络和系统资源
在此版本的Cisco ISE 中,仅对采用 IPv4 地址的终端进行漏洞评估。
启用并配置漏洞评估服务
要启用和配置Cisco ISE 的漏洞评估服务,请执行以下任务:
过程
步骤 1 | |
步骤 2 |
若要配置以下项:
|
步骤 3 | |
步骤 4 |
启用威胁中心 NAC 服务
要配置漏洞和威胁适配器,您必须首先启用威胁中心 NAC 服务。此服务只可在您部署中的一个策略服务节点上启用。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
选中要启用威胁中心 NAC 服务的 PSN 旁边的复选框,然后点击编辑 (Edit)。 |
步骤 3 |
选中启用威胁中心 NAC 服务 (Enable Threat Centric NAC Service) 复选框。 |
步骤 4 |
点击保存 (Save)。 |
配置 Qualys 适配器
Cisco ISE 支持 Qualys 漏洞评估生态系统。您必须创建一个 Qualys 适配器供Cisco ISE 与 Qualys 通信和获取 VA 结果。
开始之前
-
您必须拥有以下用户帐户:
-
带可配置供应商适配器的超级管理员权限的Cisco ISE 的管理员用户帐户。
-
带管理器权限的 Qualys 用户帐户
-
-
确保您拥有适当的 Qualys 许可证订用。您需要 Qualys 报告中心、知识库 (KBX) 和 API 的访问权限。有关详细信息,请联系您的 Qualys 客户经理。
-
将 Qualys 服务器证书导入Cisco ISE 的受信任证书库(管理 (Administration) > 证书 (Certificates) > 证书管理 (Certificate Management) > 受信任证书 (Trusted Certificates) > 导入 (Import))。确保适当的根证书和中间证书导入(或存在于)Cisco ISE 受信任证书库中。
-
请参阅《Qualys API 指南》以了解以下配置:
-
确保已启用 Qualys CVSS 评分(报告 (Reports) > 设置 (Setup) > CVSS 评分 (CVSS Scoring) > 启用 CVSS 评分 (Enable CVSS Scoring))。
-
确保添加了 IP 地址和 Qualys 终端子网掩码(资产 (Assets) > 主机资产 (Host Assets))。
-
确保拥有 Qualys 选项配置文件的名称。选项配置文件是 Qualys 用于扫描的扫描器模板。我们建议您使用包括身份验证扫描的选项配置文件(此选项也检查终端的 MAC 地址)。
-
-
Cisco ISE 通过 HTTPS/SSL (端口443)与 Qualys 通信。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
||||||||||||||||||||||||||||
步骤 2 |
点击添加 (Add)。 |
||||||||||||||||||||||||||||
步骤 3 |
从供应商 (Vendor) 下拉列表中选择Qualys:VA。 |
||||||||||||||||||||||||||||
步骤 4 |
输入适配器实例的名称。例如,Qualys_Instance。 系统会显示一个列表页面,其中包含配置的适配器实例列表。 |
||||||||||||||||||||||||||||
步骤 5 |
刷新“供应商实例列表”(Vendor Instances listing) 页面。新添加的 Qualys_Instance 适配器的状态应更改为准备配置 (Ready to Configure)。 |
||||||||||||||||||||||||||||
步骤 6 |
点击准备配置 (Ready to Configure) 链接。 |
||||||||||||||||||||||||||||
步骤 7 |
在 Qualys 配置屏幕输入以下值并点击下一步 (Next)。
如果与 Qualys 服务器建立了连接,将显示“扫描仪映射”(Scanner Mappings) 页面,页面包含 Qualys 扫描仪列表。您网络中的 Qualys 扫描仪将显示在此页面中。 |
||||||||||||||||||||||||||||
步骤 8 |
选择Cisco ISE 用于按需扫描的默认扫描仪。 |
||||||||||||||||||||||||||||
步骤 9 |
在 PSN 到扫描仪映射 (PSN to Scanner Mapping) 区域中,选择一个或多个到 PSN 节点的 Qualys 扫描仪设备,然后点击下一步 (Next)。 系统将显示高级设置 (Advanced Settings) 窗口。 |
||||||||||||||||||||||||||||
步骤 10 |
在高级设置 (Advanced Settings) 窗口中输入以下值。此页面上的设置确定按需扫描是否会触发或最后扫描结果将用于 VA。
|
||||||||||||||||||||||||||||
步骤 11 |
点击下一步 (Next) 以审核配置设置。 |
||||||||||||||||||||||||||||
步骤 12 |
点击完成 (Finish)。 |
配置 Nexpose 适配器
必须创建一个 Nexpose 适配器,供Cisco ISE 与 Nexpose 通信和获取 VA 结果。
开始之前
-
确保已在Cisco ISE 中启用以威胁防护为中心的 NAC 服务。
-
登录 Nexpose 安全控制台并创建具有以下权限的用户帐户: -
管理站点
-
创建报告
-
-
将 Nexpose 服务器证书导入Cisco ISE 中的受信任证书存储区(管理 (Administration) > 证书 (Certificates) > 证书管理 (Certificate Management) > 受信任证书 (Trusted Certificates) > 导入 (Import))。确保适当的根证书和中间证书导入(或存在于)Cisco ISE 受信任证书库中。
-
Cisco ISE 通过 HTTPS/SSL(端口 3780)与 Nexpose 通信。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
||||||||||||||||||||||||||
步骤 2 |
点击添加 (Add)。 |
||||||||||||||||||||||||||
步骤 3 |
从供应商 (Vendor) 下拉列表中,选择 Rapid7 Nexpose:VA。 |
||||||||||||||||||||||||||
步骤 4 |
输入适配器实例的名称。例如,Nexpose。 系统会显示一个列表页面,其中包含配置的适配器实例列表。 |
||||||||||||||||||||||||||
步骤 5 |
刷新“供应商实例列表”(Vendor Instances listing) 页面。新添加的 Nexpose 适配器的状态应该会更改为准备配置 (Ready to Configure)。 |
||||||||||||||||||||||||||
步骤 6 |
点击准备配置 (Ready to Configure) 链接。 |
||||||||||||||||||||||||||
步骤 7 |
在 Nexpose 配置屏幕输入以下值并点击下一步 (Next)。
|
||||||||||||||||||||||||||
步骤 8 |
点击下一步 (Next) 以配置高级设置。 |
||||||||||||||||||||||||||
步骤 9 |
在高级设置 (Advanced Settings) 窗口中输入以下值。此页面上的设置确定按需扫描是否会触发或最后扫描结果将用于 VA。
|
||||||||||||||||||||||||||
步骤 10 |
点击下一步 (Next) 以审核配置设置。 |
||||||||||||||||||||||||||
步骤 11 |
点击完成 (Finish)。 |
配置 Tenable 适配器
必须创建一个 Tenable 适配器,供Cisco ISE 与 Tenable SecurityCenter(Nessus 扫描器)通信和获取 VA 结果。
开始之前
注 |
必须在 Tenable SecurityCenter 中配置以下内容,然后才能在Cisco ISE 中配置 Tenable 适配器。请参阅 Tenable SecurityCenter 文档以了解这些配置。 |
-
您必须安装 Tenable Security Center 和 Tenable Nessus 漏洞扫描器。在注册 Tenable Nessus 扫描器时,请确保在注册 (Registration) 字段中选择由 SecurityCenter 管理 (Managed by SecurityCenter)。
-
在 Tenable SecurityCenter 中创建具有安全管理器权限的用户帐户。
-
在 SecurityCenter 中创建存储库(使用管理员凭证登录到 Tenable SecurityCenter 并选择存储库 (Repository) > 添加 (Add))。
-
在存储库中添加要扫描的终端 IP 范围。
-
添加 Nessus 扫描器。
-
创建扫描区域,并向扫描区域和映射到这些扫描区域的扫描器分配 IP 地址。
-
为 ISE 创建扫描策略。
-
添加活动扫描并将其与 ISE 扫描策略关联。配置设置和目标(IP/DNS 名称)。
-
从 Tenable SecurityCenter 导出系统和根证书,并将其导入Cisco ISE 中的受信任证书存储区(管理 (Administration) > 证书 (Certificates) > 证书管理 (Certificate Management) > 受信任证书 (Trusted Certificates) > 导入 (Import))。确保适当的根证书和中间证书导入(或存在于)Cisco ISE 受信任证书库中。
-
Cisco ISE 通过 HTTPS/SSL (端口 443)与 Tenable SecurityCenter 通信。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
||||||||||||||||||||||||||||
步骤 2 |
点击添加 (Add)。 |
||||||||||||||||||||||||||||
步骤 3 |
从供应商 (Vendor) 下拉列表,选择 Tenable Security Center:VA。 |
||||||||||||||||||||||||||||
步骤 4 |
输入适配器实例的名称。例如,Tenable。 系统会显示一个列表页面,其中包含配置的适配器实例列表。 |
||||||||||||||||||||||||||||
步骤 5 |
刷新“供应商实例列表”(Vendor Instances listing) 页面。新添加的 Tenable 适配器的状态应更改为准备配置 (Ready to Configure)。 |
||||||||||||||||||||||||||||
步骤 6 |
点击准备配置 (Ready to Configure) 链接。 |
||||||||||||||||||||||||||||
步骤 7 |
在 Tenable SecurityCenter 配置窗口中输入以下值并点击下一步 (Next)。
|
||||||||||||||||||||||||||||
步骤 8 |
点击下一步 (Next)。 |
||||||||||||||||||||||||||||
步骤 9 |
在高级设置 (Advanced Settings) 窗口中输入以下值。此页面上的设置确定按需扫描是否会触发或最后扫描结果将用于 VA。
|
||||||||||||||||||||||||||||
步骤 10 |
点击下一步 (Next) 以审核配置设置。 |
||||||||||||||||||||||||||||
步骤 11 |
点击完成 (Finish)。 |
配置授权配置文件
Cisco ISE 中的授权配置文件现在包括扫描漏洞终端的选项。您可以选择定期运行扫描,并指定这些扫描的时间间隔。定义授权配置文件后,可以将其应用于现有授权策略规则,或创建新的授权策略规则。
开始之前
您必须已启用以威胁防护为中心的 NAC 服务,并且已配置供应商适配器。
过程
步骤 1 |
在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择 。 |
步骤 2 |
创建新授权配置文件或编辑现有配置文件。 |
步骤 3 |
从常见任务 (Common Tasks) 区域中,选中评估漏洞 (Assess Vulnerabilities) 复选框。 |
步骤 4 |
从适配器实例 (Adapter Instance) 下拉列表中,选择已配置的供应商适配器。例如,Qualys_Instance。 |
步骤 5 |
如果上一次扫描的时间大于文本框中的时间,请在触发扫描字段中输入以小时为单位的扫描间隔。有效范围为 1 到 9999。 |
步骤 6 |
勾选按上述间隔定期评估 (Assess periodically using above internval) 复选框。 |
步骤 7 |
点击提交 (Submit)。 |
配置隔离易受攻击的终端的例外规则
您可以使用以下漏洞评估 (Vulnerability Assessment) 属性来配置一个例外规则,并提供对以下易受攻击终端的有限访问权限:
-
Threat:Qualys-CVSS_Base_Score
-
Threat:Qualys-CVSS_Temporal_Score
-
Rapid7 Nexpose-CVSS_Base_Score
-
Tenable Security Center-CVSS_Base_Score
-
Tenable Security Center-CVSS_Temporal_Score
这些属性在威胁目录下可用。有效值范围为 0 到 10。
您可以选择隔离终端,提供有限访问权限(重定向至不同的门户)或拒绝请求。
过程
步骤 1 |
选择 。 |
步骤 2 |
创造条件检查 Qualys 评分并分配正确的授权配置文件。例如: 任何身份组和 Threat:Qualys-CVSS_Base_Score (Any Identity Group & Threat:Qualys-CVSS_Base_Score) > 5 -> 隔离(授权配置文件)(Quarantine (authorization profile)) |
步骤 3 |
点击保存 (Save)。 |
漏洞评估日志
Cisco ISE 为故障排除 VA 服务提供以下日志。
-
vaservice.log - 包含 VA 核心信息,在运行 TC-NAC 服务的节点上可用。
-
varuntime.log - 包含终端和 VA 流程的信息;在监控节点和运行 TC-NAC 服务的节点上可用。
-
vaaggregation.log - 包含终端漏洞的每小时汇聚详细信息,在主管理节点上可用。